Bacato il noto media player VLC

Nonostante la sua natura open source e la recente patch rilasciata in febbraio è ancora possibile avvantaggiarsi di un problema nel sistema con cui VLC Media Player processa i file dei sottotitoli e usarli per eseguire codice arbitrario
Nonostante la sua natura open source e la recente patch rilasciata in febbraio è ancora possibile avvantaggiarsi di un problema nel sistema con cui VLC Media Player processa i file dei sottotitoli e usarli per eseguire codice arbitrario
Bacato il noto media player VLC

Anche il mondo open source non sembra essere al di sopra di ogni possibile minaccia e qualche volta arriva notizia di vulnerabilità riscontrate in quei prodotti che, per la vasta base di sviluppatori, sono ritenuti in linea di massima sicuri o quantomeno privi di gravi pericoli.

Ancora non risulta essere stato riparato il problema che può portare anche all’esecuzione di codice arbitrario su VideoLAN VLC, il media player tra i più stabili, efficenti e completi in circolazione, prodotto come parte del VideoLAN Project e rilasciato gratuitamente sotto la licenza General Public di GNU. Si tratta di un exploit in grado di avvantaggiarsi della creazione ad arte di un buffer overflow a partire dai sottotitoli.

VLC infatti consente, parallelamente all’apertura di un qualsiasi file video, anche l’apertura di un separato file per i sottotitoli (il quale può anche essere un txt, l’importante è che sia formattato secondo lo standard del settore) e proprio nel momento in cui il file in questione viene processato è possibile avvantaggiarsi dell’overflow. L’exploit è valido sia in ambiente Windows che Mac che BSD.

Secondo le prime ricerche il bug esisteva anche prima che lo scorso febbraio fosse rilasciata l’ultima versione del programma, la 0.8.6e. È evidente che il problema o è sfuggito al controllo oppure non è stato riparato correttamente nonostante fosse stato identificato. La nota scritta da Luigi Auriemma, colui il quale ha

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

il bug, infatti non lascia dubbi: «La cosa divertente è che il mio vecchio exploit era stato costruito proprio per testare questo tipo di buffer overflow e funziona senza problemi anche sulla nuova versione di VLC».

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche

Link copiato negli appunti